「復活」が報じられたBreachForums、これまでの経緯を振り返る | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > 「復活」が報じられたBreachForums、これまでの経緯を振り返る

脅威インテリジェンス

Cyber Intelligence

Intelligence

サイバーインテリジェンス

「復活」が報じられたBreachForums、これまでの経緯を振り返る

Tamura

Tamura

2023.06.20

 

人気ハッキングフォーラム「BreachForums」が2023年6月12日に「復活」したと報じられました[1][2][3]。BreachForumsと言えば、創設者である「pompompurin」が2023年3月に逮捕され、その管理人の1人がフォーラムの閉鎖を発表していました。それ以降、見た目やコンセプトの似た非公認の「代替」フォーラムが複数出現し、最近ではこうしたフォーラムの1つにおいて、日本の政府機関から漏えいしたデータと称するものを販売・共有する投稿が出現し、話題になったばかりです。

アンダーグラウンド・コミュニティをめぐる情勢が動く中、BreachForumsのこれまでの経緯をまとめてみました。

2つの「BreachForums」

まず、2023年6月19日の時点で、「BreachForums」を名乗るサイトのドメインは、2種類存在します。このうち1つは、最近ニュースで「復活したBreachForums」として報じられたドメインです。6月20日追記)なお、この記事の作成中に、「復活したBreachForums」がライバルフォーラムにハッキングされたと報じられました。[16]

画像1:「復活したBreachForums」の画面とされるもの。フォーラムが生まれ変わった(reincarnated)ことを告げる内容で、投稿日は6月12日となっている(情報源:HACKREAD[1]

もう1つは、昨年から確認されているドメインです。6月19日現在、同ドメインにアクセスすると、以下のような英語のメッセージが表示されます。

Any forums claiming to be “Breached” or “BreachForums” should be used with caution. BreachForums will never return.

hxxps://www.databreaches[.]net/breachforums-down-and-will-not-be-back/

“Again, the Breached forum will not be coming back. If it’s back for any reason, you need to assume that is an attempt to target our users and is not safe.” 

(日本語訳)

「Breached」または「BreachForums」を自称するどんなフォーラムも、慎重に使用すべきである。BreachForumsが戻ってくることはない。

hxxps://www.databreaches[.]net/breachforums-down-and-will-not-be-back/

繰り返す、Breached forumが復活することはない。何らかの理由で復活したなら、それは、我々のユーザーを狙おうとする企みであり安全ではない、と考える必要がある

(*リンク編集済み)

以上から、この記事では便宜的に前者を「新BF」、後者を「旧BF」と呼ぶことにします[4]6月26日追記)なお、6月23日、旧BFのドメインを米国などの法執行機関などが差し押さえたと、複数のニュースサイトが報じました(下画像)。[17][18]

画像:旧BFドメインに表示される差し押さえ通知(情報源:Bleeping Computer[17]

旧BFとはどんな場所だったか

無料ないし廉価な漏えいデータやハッキングサービスが流通

旧BFは、2022年3月〜2023年3月まで人気ハッキングフォーラムとして存在していました。ハッキングフォーラムとは、ハッキング関連の情報交換が行われるウェブサイトのことです。ハッキングフォーラム自体は多数存在し、交換される情報の種類や、使用される言語(英語、ロシア語、中国語等)、ドメイン(ダークウェブかクリアウェブか)は、フォーラムによって様々です。

関連記事:ダークウェブとは?何が行われている?仕組みから最新動向まで

ハッキングのためのツールやサービス(例えば、ランサムウェア・アズ・ア・サービス)の宣伝を特色とするフォーラムもある中で、旧BFは、主に無料ないしは廉価な漏えいデータやハッキングサービスでユーザーを呼び寄せていたと言われています[5]。使用される言語は英語で、ドメインは基本的にクリアウェブのものでした。つまり、フォーラム自体は通常の検索エンジンの検索結果に表示され、投稿の閲覧もTorブラウザなどを使わずに行うことができました(ただし、一部.onionドメインのページも確認されています)。

画像2:旧BFにおける投稿の例。米国の医療関連企業へのアクセスを売ろうとしたものと見られる(FBIの特別捜査官による宣誓供述書[6]より引用)

なぜ人気だったか

数多あるハッキングフォーラムの中でも、旧BFはとりわけ人気でした。登録者数は2022年3月から11月までの間に、1,500人から192,000人超に増加したと報じられています[5][7]。このわずかな期間に利用者が急増した背景として、2022年2月、登録者数748,348人を誇った人気フォーラム「Raid Forums」が、米国などの法執行機関に閉鎖されたことがあります。

Raid Forumsとは

画像3:Raid Forumsにおける投稿の例。投稿者はOmnipotent(引用元:Bleeping Computer[11]

Raid Forumsは、2022年2月に法執行機関に閉鎖され、創設者が逮捕された人気ハッキングフォーラムです。以下は、米国司法省の文書[8][9]を元に、Raid Forumsと旧BFの概要をまとめたものです。表から、Raid Forumsと旧BFでは、流通していた情報が似ており、使用言語、ドメインの種類が共通していることが分かります。ユーザーから見ると、両フォーラムの位置付けは似ていたと言えます。

Raid Forumsを追われたハッカーたちが旧BFに流入か

画像4:Raid Forums閉鎖後(2022年4月12日)、ランディングページに表示された差し押さえ通知(情報源:Flashpoint[5]

ダークウェブ等不法コミュニティの監視サービスを提供するFlashpointによると、Raid Forumsのサイトが停止した直後(2月7日以降)、脅威アクターたちは、代わりを同フォーラムの公式Telegramチャンネル上で盛んに探し求めたとのことです[12]。そして2022年3月16日、代替フォーラムを自称する旧BFが発足しました[13]

関連記事:Telegramがオープンソース調査に必要不可欠な理由

旧BFには、Raid Forumsの元ユーザーにとって魅力的な要素が備わっていた模様です。Flashpointによると、創設者のpompompurinは、Raid Forumsの元ユーザーであり、同フォーラムで高い評価を得ていました。また上記の通り、旧BFはRaid Forumsとサイトの見た目がよく似ていたほか、使用言語も同じく英語でした。さらに、Raid Forumsの元ユーザーが有償で保有していたランキングを、無料で旧BFに引き継ぐという優遇策を提供していました[5]

またFlashpointは、2022年3月29日の時点で、Raid Forumsのユーザーと全く同じユーザー名を持つ脅威アクターを、旧BF上で多数確認していると指摘していました[13]。よって、断言はできないものの、Raid Forumsから旧BFへ多数のユーザーが移動していた可能性は十分にあります。

画像5:旧BFにおける投稿数の推移。投稿総数は103万件近く。(Flashpoint「FP tools」より引用)

旧BFにおける日本への言及

割合は小さいが、漏えいデータを宣伝する投稿あり

ここで旧BFと日本との関わりについて見てみましょう。弊社が調べたところ、フォーラム発足の2022年3月から2023年3月までに、本文中で“japan”, “japanese”, “日本”, “Япония”のいずれかに言及した投稿の数は、1,251件でした。スレッドタイトル内でこれらのキーワードに言及した投稿については、“japan”が1,497件、“japanese”が352件(“日本”と“Япония”は0件)で計1,849件でした。よって、投稿総数の約103万件に占める割合はそれぞれ0.12%、0.18%とかなり小さめです。ただ、この中には、日本企業の顧客データを共有すると主張する投稿がいくつか含まれており、要注意フォーラムであったと言えます。

画像6:本文中で“japan”, “japanese”, “日本”, “Япония”のいずれかに言及した投稿の数の推移(Flashpointの「FP tools」より引用)

旧BF閉鎖後「代替」フォーラムで日本のデータが宣伝される

pompompurinが逮捕された直後の3月21日、もう1人の管理人「baphomet」がTelegramにおいて旧BFの閉鎖を発表しました[5]

上述の通り、Raid Forumsの閉鎖直後には、pompompurinが旧BFを代替として立ち上げました。旧BFの閉鎖後もこれと似た動きがあり、「代替」と目される、よく似たフォーラムがいくつか出現しました。こうした「代替」フォーラムとして、PwnedForum、ARES Leaks、KKKSecForum、Exposedが確認されています[5]。ただし、いずれも旧BFの元管理人たちの公認するものではありませんでした。Flashpointによると、baphometは以下のような投稿を残しています。

「新しいフォーラムは、どれも私たちとは関係ありません。また私が、こうしたフォーラムに私たちのユーザーの情報を提供し、皆さんが過去に私たちのコミュニティにいたことを証明することはありません。こうしたフォーラムに参加するのはご自由に。ただ、いつものことですが、お気をつけて。」[5]

またFlashpointは2023年4月の時点で、既存の人気フォーラムにおける活動やユーザー数の急増は確認されていないとしていました[5]。よって、こうした既存フォーラムが「代替」フォーラムとなったことも考えにくそうです。

なお、2023年5月末から6月初めにかけて、ある「代替」フォーラムにおいて、日本の組織から漏えいしたとされるデータを販売・共有する投稿が複数出現していました。もちろん、これらの投稿の主張が、全て真実とは限りません。一般論として、フォーラムのメンバーは、自分の評価を高めるために、虚偽や誇張した情報を投稿することがあります。一方、実際の漏えいデータ(新たに漏えいしたデータに加え、過去に漏えいしたものの再掲を含む)を投稿する可能性もあります。(なお、この「代替」フォーラムは6月19日現在、アクセスできなくなっています。)

画像7:国土交通省(http://www[.]milt[.]go[.]jp/en/)」のデータを共有すると主張した、ある「代替」フォーラム上の投稿

新BFへの反応

2023年6月13日、「数か月前に閉鎖された有名なサイバー犯罪・ハッキングフォーラムであるBreachForumsが、新たな管理人のもとで再び出現した」と海外ニュースサイト[1]が報じました。この報道によると、新たな管理人は悪名高いハッキンググループの「ShinyHunters」とのことです。また記事中の画像(以下)によると、baphometが新BFを公式フォーラムとして認める旨の投稿を、Telegram上で行った模様です。

画像8:新BFを公式フォーラムとして認めるというbaphometのメッセージと、同ドメインを引き合いにフォーラム「復活」に言及する「ShinyHunters」の投稿(情報源:HACKREAD[1]

Raid Forums閉鎖から旧BFの発足・発展・閉鎖、そして旧BFの「代替」フォーラムの出現までの流れを踏まえると、公認の代替フォーラムを待ち望むアクターが少なくないことは容易に想像できます。新BFでの活動が活発になれば、上の記事の指摘するように「サイバー攻撃や、データ侵害、このプラットフォーム上での違法行為の助長が急増する」ことが懸念されます。ただし、記事は「(新BFが)まだハニーポットである可能性はある」と懐疑的なニュアンスを含んでいます。またTwitter上では、以下のように今回の「復活」に懐疑的な反応も確認されており、今後の展開は未だ不透明です。

画像9:新BFに懐疑的なツイートの例[14]

画像10:新BFに懐疑的なツイートの例[15]

最後に

以上、やや荒削りながら、「復活」が報じられたBreachForumsのこれまでの経緯をまとめました。

ハッキングフォーラムに掲載された漏えいデータは、サイバー犯罪者に入手または購入され、攻撃などの不正行為に悪用される可能性があります。漏えいを早い段階で検知し、適切な対処に活かすことが、攻撃の防止や被害の軽減に有効であることは、言うまでもありません。しかし、ハッキングフォーラムは多数存在し、流通する情報の種類、信憑性、ドメイン(クリアネットかダークウェブか)も様々です。さらに上記の通り、Telegramのようなチャットサービスを併用するケースもあることから、このようなコミュニティからの情報収集は容易ではありません。

マキナレコードでは、膨大なアンダーグラウンド・コミュニティのデータをプロアクティブなセキュリティ対策につなげる、インテリジェンスのツールや、基礎的なインテリジェンストレーニングプログラムを提供しております。

Flashpoint

Flashpointは、ディープ&ダークウェブ(DDW)やチャットアプリのみならず、オープンソースをも含んだ「不法コミュニティ」全体をカバーする脅威インテリジェンスツールです。運営企業には、米国司法機関等を経て経験を積んだアナリストが在籍し、ユーザー様に対し、質の高い脅威レポートを継続して提供しています。他の脅威インテリジェンスサービスとの連携にも対応しており、米国の主要企業をはじめ、国内でも官公庁やプライム企業を中心に複数の採用実績があります。

なお、マキナレコード社の実績のあるアナリストがお客様に代わり本ツールを用いて、個別の要件に基づいた監視/通知/運用を行うマネージドサービスの提供も可能です。お気軽にご相談ください。

 

インテリジェンストレーニング

脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。

業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング(オプション)など、幅広く学習できる最大2日間のトレーニングコースです。

特色

・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)

・米国CISAによるNICE Frameworkへのアダプト

・ハンズオントレーニングを含む2日間のトレーニング

学習する項目

・インテリジェンスサイクルの理解

・脅威の定義

・データソースの特徴

・要件定義の仕方

・情報収集とは

・分析ツール、各種フォーマット

参考資料

[1] HACKREAD, 2023年6月13日, BreachForums Returns Under the Control of ShinyHunters Hackers

[2] DataBreaches.net, 2023年6月14日, The reincarnation of BreachForums: A cyberdrama in three acts

[3] Cybernews, 2023年6月15日, BreachForums is back – for real this time

[4] なおGoogleの検索結果では、旧BFはスペース付きの「Breach Forums」で表記され、新BFはスペースなし「BreachForums」で表記されています(6月20日現在)。しかし、スペースなし表記は、過去の旧BFでも使われていた模様です(例えば、画像2)。よって、アクターたちもそれほど厳密に使い分けているわけではないようであり、「復活」報道でもスペースなし表記が新旧BFに対して使われていました。こうした事情から、本記事のタイトル・本文では、スペースなし表記に統一しております。

[5] Flashpoint, 2023年3月21日, Another One Bites the Dust: The (Apparent) End of Breach Forums

Exploit and XSS have historically featured discussions and sales of malware and ransomware, while Breach Forums attracted users with free or low-cost leaked data and hacking services.

[6] Flashpoint, 2023年3月18日, COURT DOC: US Federal Agents Arrest Alleged Administrator of Breach Forums “pompompurin” | Flashpoint

[7] 米司法省の発表[8]によると、フォーラムの主張では2023年3月時点で「340,000人超」。

[8] Department of Justice, 2023年3月24日, Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation

[9] Department of Justice, 2022年4月12日, United States Leads Seizure of One of the World’s Largest Hacker Forums and Arrests Administrator

[10] CNN, 2023年3月24日, FBI takes down cybercrime forum that touted data connected to breach affecting US lawmakers 

[11] Bleeping Computer, 2021年10月4日, RaidForums forced to use mirror after Brazilian govt contacts registrar

[12] Flashpoint, 2022年4月12日,Raid Forums Is Down. Who’s Behind Its Apparent Seizure?

[13] Flashpoint, 2022年3月29日, Breach Forums Is Marketing Itself as a Raid Forums Successor – Security Boulevard

[14]https://twitter.com/it_tomh/status/1669047326227193856

[15]https://twitter.com/N4hualH/status/1669042366194253824

[16] Cybernews, 2023年6月19日, New BreachForums site hacked by rivals

[17] BleepingComputer, 2023年6月23日, FBI seizes BreachForums after arresting its owner Pompompurin in March

[18] The Record, 2023年6月23日, BreachForums seized by FBI three months after arrest of alleged admin

Writer

Tamura株式会社マキナレコード インテリジェンスアナリスト・翻訳者

著者

一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳に携わる。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ